Gruppo di Hacking Lazarus Sfrutta Vulnerabilità dei Server Microsoft IIS per Distribuire Malware in Corea del Sud

Il gruppo di hacking Lazarus, noto per essere sponsorizzato dallo stato nordcoreano, ha recentemente colpito nuovamente, utilizzando tattiche sofisticate per compromettere i server web del servizio Windows Internet Information Service (IIS) di Microsoft. Questo gruppo di minacce ha dimostrato di essere altamente abile nell'utilizzo di vulnerabilità nei server IIS, trasformandoli in piattaforme per la distribuzione di malware dannosi.

IIS è uno dei server web più ampiamente utilizzati al mondo e trova impiego nella gestione di siti web e servizi applicativi critici, come Outlook sul Web di Microsoft Exchange. La sua popolarità lo rende un bersaglio allettante per gli hacker, soprattutto per il gruppo Lazarus, noto per le sue attività di spionaggio e gli attacchi sponsorizzati dallo stato.

Gli esperti di sicurezza di ASEC, un'azienda di sicurezza informatica con sede in Corea del Sud, hanno rivelato che Lazarus sta sfruttando i server IIS per ottenere l'accesso iniziale alle reti aziendali. Tuttavia, la preoccupazione va oltre l'accesso, poiché il gruppo Lazarus ha dimostrato di utilizzare anche i server IIS poco protetti come base per la distribuzione di malware.

Uno degli approcci principali utilizzati da Lazarus coinvolge "attacchi Watering Hole" su siti web legittimi in Corea del Sud. In questa tipologia di attacco, gli aggressori compromettono siti web affidabili frequentati dai loro obiettivi. Nel caso specifico, Lazarus ha sfruttato una versione vulnerabile del software INISAFE CrossWeb EX V6, ampiamente utilizzato da organizzazioni pubbliche e private per operazioni finanziarie e transazioni cruciali.

La vulnerabilità INISAFE era già stata documentata da Symantec e ASEC nel 2022, tuttavia, i cybercriminali di Lazarus hanno continuato con successo a sfruttarla fino ad aprile 2022. L'attacco si avvia attraverso l'invio di un file HTM maligno, che, una volta ricevuto dall'utente, viene iniettato nel legittimo software di gestione di sistema INISAFE Web EX Client sotto forma di un file DLL denominato "scskapplink.dll". Da qui, il sistema viene infettato da un payload maligno denominato "SCSKAppLink.dll", scaricato da un server web IIS precedentemente compromesso dal gruppo Lazarus.

Per ampliare l'accesso e il controllo del sistema compromesso, Lazarus utilizza il malware di escalation dei privilegi noto come "JuicyPotato". Questo malware consente loro di ottenere accesso a livelli più elevati e di eseguire un secondo caricatore di malware denominato "usoshared.dat". Questo caricatore decifra i file di dati scaricati e li esegue in memoria per evitare la rilevazione da parte delle soluzioni di sicurezza.

Per proteggersi da queste minacce informatiche, ASEC consiglia agli utenti del software INISAFE CrossWeb EX V6 di aggiornare alla versione più recente (3.3.2.41 o successiva). È essenziale per le organizzazioni e gli utenti adottare pratiche di sicurezza robuste e mantenere costantemente aggiornato il software per ridurre le vulnerabilità e proteggere i propri dati sensibili.

In un'era in cui la sicurezza informatica è diventata una priorità assoluta, il recente attacco di Lazarus ai server Microsoft IIS evidenzia l'importanza di adottare misure di sicurezza proattive e rimanere vigili contro le potenziali minacce informatiche. Mantenere i software aggiornati e consapevoli delle vulnerabilità note è fondamentale per garantire la sicurezza dei dati e la continuità operativa.

